Situs web rusak, apa yang bisa saya lakukan?

10

Situs web perusahaan saya telah dirusak, asalkan saya memiliki log akses mentah apache, adakah yang bisa saya lakukan untuk menganalisis kapan dan apa yang salah?

Maksud saya apa yang harus diwaspadai di antara ribuan dan ribuan baris log?

Terima kasih untuk bantuannya

apache-2.2 security forensics SteD
sumber

Jawaban:

4

DaisetsuJawabannya ada di jalur yang benar.
Tapi, Anda mungkin bisa menyelesaikan beberapa analisis tanpa menyewa ekspor penuh waktu juga.
Saya menambahkan beberapa tautan ke artikel pendek yang akan memberi Anda inti dari apa yang bisa dilakukan.

  1. Pertanyaan Wawancara Keamanan Web di WebAppSec
  2. Menggunakan log server web Anda untuk menemukan server web yang dikompromikan di DigitalOffencive
  3. Apa yang harus dilakukan setelah Pengrusakan Situs Web ?

Saran: Memindahkan pertanyaan ini ke ServerFault mungkin mendapatkan jawaban terarah tentang apa yang bisa dilakukan.

nik
sumber
Terima kasih atas tautan dan sarannya, bagaimana saya bisa memindahkan ini ke ServerFault? Sepertinya Serverfault adalah tempat yang paling tepat untuk menanyakan hal ini
SteD
@ SDD, Anda bisa mempostingnya di sana. Tapi, sekarang jangan bikin postingan kedua. :-)Ini sudah dipindahkan ke sana, butuh total 5 suara untuk itu. Saya telah menambahkan milik saya - yang lain akan membantu.
nik
4

Ketika suatu sistem dikompromikan / dirusak Anda tidak pernah yakin apakah semuanya telah dibersihkan dan IMHO solusi terbaik adalah selalu menginstal ulang, tetapi Anda perlu melakukan beberapa forensik untuk memahami apa yang terjadi dan mencegahnya terjadi lagi.

Berikut daftar hal-hal penting untuk diperiksa:

  • lihat setiap file log yang Anda bisa, terutama server web dan sistem. Dalam file log server web, periksa posting
  • jalankan checker rootkit. Mereka tidak sempurna, tetapi dapat membawa Anda ke arah yang benar. chkrootkit dan terutama rkhunter adalah alat untuk pekerjaan itu
  • jalankan nmap dari luar server Anda dan periksa apakah ada sesuatu yang mendengarkan pada port apa pun yang seharusnya tidak
  • jika Anda memiliki aplikasi trending rrdtool (seperti Cacti, Munin atau Ganglia), lihat grafiknya dan cari kerangka waktu yang memungkinkan.
  • periksa versi server web Anda dan lihat apakah ada masalah keamanan yang diketahui tentang hal itu.

Juga, selalu ingatlah ini:

  • matikan layanan yang tidak Anda butuhkan
  • uji cadangan secara teratur
  • ikuti prinsip privilege paling tidak
  • perbarui layanan Anda, terutama yang berkaitan dengan pembaruan keamanan
  • jangan gunakan kredensial default

Semoga ini membantu.

Marco Ramos
sumber
1
+1, saat dikompromikan, menyimpan salinan konten "baru", dan memulihkan semuanya dari cadangan. (Hanya satu alasan lagi untuk menyimpan cadangan yang baik ).
Chris S
1

Ya, ini dikenal sebagai Forensik Jaringan. Ini pada dasarnya mencari melalui log jaringan dan server untuk menemukan asal serangan dan apa yang dikomprimasikan. Untuk melakukan ini meskipun Anda biasanya memerlukan spesialis forensik, dan bahkan ketika Anda mengetahui apa yang terjadi, yang terburuk yang bisa Anda lakukan adalah menuntut penyerang atau membuat mereka didakwa dengan tindak pidana. Perusakan web benar-benar tidak dilihat sebagai kejahatan besar, kecuali jika ada uang yang hilang oleh perusahaan sebagai akibat dari serangan itu. Jika serius Anda harus menghubungi otoritas yang sesuai dan mereka akan membantu pengumpulan bukti. Berikut daftar siapa yang harus dihubungi untuk kejahatan cyber. http://www.justice.gov/criminal/cybercrime/reporting.htm Juga ini tidak dihitung sebagai nasihat hukum.

Daisetsu
sumber
3
Mengapa Anda memerlukan spesialis forensik untuk menganalisis log Apache? Pengetahuan yang berfungsi tentang Linux dan Apache harus cukup kualifikasi.
MDMarra
1
Saya berbicara dari sudut pandang hukum. Jika Anda ingin review informal maka letakkan log di depan orang itu.
@Daisetu - OP tidak mengatakan apapun tentang akibat hukum bagi penyerang. Dia secara khusus bertanya apa yang harus dicari untuk mencari tahu apa yang salah.
MDMarra